Взлом на $440,000 раскрывает угрозу мошенничества с «разрешениями» на Ethereum

Хакер украл более 440 000 долларов USDC после того, как владелец кошелька случайно подписал злонамеренную подпись «разрешение», согласно предупреждению, опубликованному в понедельник антифишинговой платформой Scam Sniffer.

Инцидент произошёл на фоне резкого увеличения урона от фишинговых атак. Только в ноябре было изъято около 7,77 миллиона долларов из более чем 6 000 жертв — это на 137 процентов больше, чем в октябре, хотя число жертв сократилось на 42 процента.

Согласно отчету, «охота на китов» продолжает расти, при этом крупнейший случай достиг 1,22 миллиона долларов с одной подписи разрешения, что показывает, что, несмотря на уменьшение числа случаев, уровень ущерба на одну жертву значительно вырос.

Что такое мошенничество с разрешением?

Мошенники с разрешением эксплуатируют практику обмана пользователей, заставляя их подписывать транзакцию, которая кажется легитимной, но на самом деле даёт злоумышленнику право тратить их деньги. Многие вредоносные dApps маскируют контент, подделывают имена контрактов или создают запросы на подписание, выглядящие как рутинные операции.

Если пользователь не проверяет, эта подпись даёт злоумышленнику полное разрешение использовать токен ERC-20 в кошельке. После получения лицензии они обычно сразу же расходуют свои средства.

Этот метод использует функцию permit Ethereum — которая предназначена для облегчения авторизации расходов на доверенные приложения. Однако удобство становится недостатком, когда это право попадает не в те руки.

Была запущена новая межведомственная инициатива по ликвидации международных сетей криптомошенничества, особенно моделей «свинского забоя», которые за последние годы привели к миллиардам долларов убытков. Многие ведомства, такие как Министерство юстиции, ФБР, Секретная служба и Министерство финансов США, будут координировать действия по борьбе с этими преступными группами.

Почему мошенничество с разрешениями трудно распознать?

Тара Эннисон, руководитель отдела продуктов Twinstake, отметила, что опасность заключается в том, что злоумышленник может снять средства за одну транзакцию или дождаться, пока жертва загрузит больше токенов в кошелёк — если он установил достаточно долгий срок действия подписи.

«Успех такого рода мошенничества заключается в том, что пользователи подписывают что-то, чего не понимают. Она эксплуатирует субъективность и человеческую импульсивность», — сказала она.

Она также сказала, что это не редкий случай. Многие высокоценные фишинговые атаки часто имитируют бесплатные airdrop-файлы, фейковые сайты проектов или фейковые оповещения безопасности, чтобы заманить пользователей подключать кошельки и подписывать транзакции.

Криптокошельки увеличивают количество оповещений — но недостаточно

Кошельки, такие как MetaMask, добавили подозрительные уведомления на сайте и перенесли данные о транзакциях в более понятный формат. Некоторые другие кошельки также выделяют операции с высоким риском. Однако нападающий постоянно менял тактику.

Гарри Доннелли, основатель Circuit, предупреждает, что атаки на основе разрешений «довольно распространены», и пользователям необходимо проверять адреса отправки, связанные контракты и особенно лицензионные ограничения — во многих случаях злоумышленники просят неограниченные разрешения на расходы.

Как защитить себя

Эннисон подчёркивает, что дважная проверка того, что вы собираетесь подписать, по-прежнему остаётся самой важной линией защиты:

• Понимайте, какие действия произойдут после подписания
• Проверьте, правильна ли вызываемая функция для нужной операции
• Не подписывайте только потому, что приложение просит или обещание получить награды

Многие кошельки улучшили интерфейс, чтобы облегчить понимание пользователям, но самим пользователям всё равно нужно быть внимательными.

По словам Мартина Дерки, соучредителя Zircuit Finance, вероятность вернуть деньги «почти нулевая».

Он отметил, что при фишинговых атаках жертва не знает, кто другой человек, нет точки контакта, и у злоумышленника всегда одна цель: забрать деньги и исчезнуть. «Как только деньги исчезают, они исчезают», — сказал он.

Тач Санх